CL20《检测和校准实验室能力认可准则在信息技术产品检测领域的应用说明》核查表

CNAS-AL01第11页共11页2011年07附表7(CNAS-CL20:2006)《检测和校准实验室能力认可准则在信息技术产品检测领域的应用说明》核查表4管理要求条款核查内容对应的质量管理体系文件名称、编号及章节/条款号自查结果说明备注4.1组织4.1.5实验室是否c）有政策和程序确保客户的机密信息和所有权得到保护，除了电子储存和传输结果的保护程序，还要在检测过程中对客户产品的一切信息进行保护，例如检测过程中的屏幕保护等。d）建立并保持从事信息技术产品检测公正性和信任性的政策和程序。实验室应：(1)确保以独立判断和始终保持可信方式组织信息技术产品检测；(2)同一实验室人员或小组不能开发和检测同一标准或信息技术产品；(3)同一实验室人员对其将要参加检测的同一标准或信息技术产品不得提供咨询服务；填表说明：1.“自查结果说明”栏应逐个条款进行描述。2.本核查表只在CNAS-CL20适用时填写。条款核查内容对应的质量管理体系文件名称、编号及章节/条款号自查结果说明备注4.1.5实验室是否制定明确的政策并在实验室检测人员与产品开发商、系统集成商、其他有利害关系和可能影响检测结果的人员之间建立保持相互分离的文件化程序？4.2管理体系4.2.1实验室的管理体系是否能促进实验室的活动以保证技术准确，检测公正等。管理体系是否包括：(1)保证适当信息得到保护的政策和程序。例如，哪些信息应当保护，以防止透露给实验室之外的人员、参观实验室人员、不需知道这些信息的实验室人员以及其他未授权人员。(2)体系管理和可靠性的程序。如果适用，还应包括在实验室以外的场所进行信息技术产品检测的程序。例如，解释并说明怎样保证检测场所的检测条件，如何储存记录和文件以及如何控制检测设备等。4.11纠正措施4.11.2不合格潜在的原因除了注释中所列之外，是否还包括病毒、检测的操作顺序等？4.13记录4.13.14.13.1.2总则所有的记录是否注明日期和签名？实验室的记录是否保存五年以上？4.13.1.3实验室是否有程序确保所有的记录（包括任何形式的记录）的准确性、完整性和保密性，防止未经授权的访问和和修改？信息技术产品检测实验室是否采取措施确保，无论在检测期间还是在检测之后，第三方都不能够访问在线记录。如果进行检测的客户的系统，在检测期间向客户开放访问，则检测实验室应能确保第三方在检测期间不能够访问正在进行检测的客户的系统。此外，如果进行检测的客户的系统在检测完成之后向第三方开放访问，并且客户要将检测结果放在其系统上，那么，客户应提供一份书面承诺，说明对检测记录负全部责任。如果客户没有做出这样的承诺，检测实验室首先应以妥善的删除方式寻求与客户达成协议，然后删除在检测过程中在客户系统上生成的所有记录。4.13.1.4以电子形式记录和存储的记录是否有相关人员和日期的信息，这些记录是否有适当的标识和备份，是否符合实验室的政策并确保记录的完整性？4.13.24.13.2.1技术记录检测行为记录是否能够追溯到检测人员的操作和工作方法？5技术要求条款核查内容对应的质量管理体系文件名称、编号及章节/条款号自查结果说明备注5.2人员5.2.1实验室能否确保其管理人员和技术人员具备进行信息技术产品检测的能力。实验室是否保存了有效的技术与管理的人员名单，包括实验室主任，授权签字人和关键技术人员。实验室是否保存从事信息技术产品检测和负责监督的实验室员工的岗位记录和个人简历，且便于查阅？从事信息技术产品检测活动的实验室员工是否具有计算机科学专业或计算机工程专业或者相关专业大学学历，或者具有同等学历？5.2.1检测人员是否至少具备计算机软件硬件和网络技术等方面的技术培训？是否至少具备在信息技术产品具体应用领域的3年工作经验。实验室的技术人员是否至少掌握了解下列范围的知识或经验：操作系统、数据结构、算法设计和分析、数据库系统、程序语言、计算机系统结构和网络。检测人员是否接受过知识产权保护方面的专门教育，是否具备知识产权意识确保客户利益和商业机密不被泄露？实验室是否针对相应的岗位技术能力要求和培训考虑了必要的考核？实验室是否检查每一名被授权从事每项检测方法检测的员工的能力？5.2.2实验室是否对新员工和在岗员工制定详细的培训计划文件？每位新员工是否经过培训才能上岗？5.2.2培训计划是否是最新的，当检测标准、检测方法和员工岗位等发生变化时，在岗员工是否重新培训后上岗。每一名员工是否对其所从事的工作可能接受在职培训、脱产培训或其他适当形式的培训？实验室保存的培训资料是否是实用、有效的？实验室员工的培训是否侧重以下方面：(1)检测标准/方法的一般要求，包括编写检测报告；(2)计算机软硬件及其应用的科学知识；(3)计算机安全知识；(4)检测标准/方法的使用知识。5.3设施和环境条件5.3.1实验室是否有足够的设施以保障信息技术产品的检测？包括但不限于用于检测的设备、用于员工培训、记录保存、文件保存和软件保存等的设施，以及为确保检测数据的准确及检测设备的安全稳定而应具备的防静电措施。实验室是否有适当的保护系统，保护相应的硬件、软件、检测数据、电子和纸质记录以及其他的材料，避免透露给实验室以外的人员、参观实验室人员、以及不需知道这些信息的实验室人员和其他未授权人员。5.3.1用于信息技术产品检测的实验室网络是否与实验室以外的网络隔离。如果检测在实验室以外的场所进行，其环境是否也满足所要求的实验室环境等级，是否能够控制检测环境以防止非授权实体在检测期间进入系统存取信息？5.3.2实验室是否具备防范计算机病毒、恶意软件等不良程序对检测设施和环境造成影响的措施？例如，是否具备有效的病毒保护和软件/数据备份程序。实验室是否定期检查网络情况，必要时定期进行软硬件的更新换代，与外界建立联系应具备电子邮件的能力等。5.3.3实验室同时进行多样检测时，它是否能保持检测中的产品、检测平台、外围环境和文件的有效分离。在某些信息技术产品检测服务中，单个检测或确认服务内使用的软件构件之间是否也进行了明确的隔离？检测工具、被测产品和支持环境是否进行了有效的隔离？一旦被测产品被集成在客户提供的系统中，实验室是否确保在被测系统的环境部分中没有来自其它方面的可能影响其检测或确认结果的干扰？5.4检测和校准方法及方法确认5.4.1实验室是否按照检测标准和检测方法制定文件化程序，并据此进行信息技术产品检测。信息技术产品检测所采用的检测方法涉及：检测用例集；用来运行这些检测用例的检测工具（硬件和软件）以及使用它们的方法；用来选择和运行检测用例及分析观察、说明结果的相关程序，所有这些是否都经适当的验证、确认并进行相应的文件化管理。检测方法确认中是否包括对样品的各个功能的检测顺序及检测的组合？5.4.4非标准方法注：待测样品类型的描述是否包括样品名称、版本信息、类别等。5.4.5方法的确认方法是否满足重复性和复现性准则的要求？5.4.6测量不确定度的评定这些要求仅适用于要进行物理量检测以及检测涉及使用浮点算法或数据的近似表示极个别情况的检测。5.4.7.2c)由使用者开发的检测工具和检测用例是否有足够详细的文件说明，并对其适用性进行适当验证？5.5设备5.5.2检测设备包括但不限于硬件设备、软件检测工具或其他的用于信息技术产品检测的设备，实验室是否确保检测设备能够满足信息技术产品检测的要求？用于信息技术产品检测的计算机系统或网络系统是否进行合理配置？所选用的设备应是具有可追溯性的商用软、硬件或其他检测工具。5.5.3实验室是否保存用于信息技术产品检测的设备的使用说明及实验室内部文件化的使用程序？5.5.5实验室是否对所有的检测设备情况编制文件和保持记录？包括客户提供的设备和实验室提供的设备。记录除准则中所列之外，还应包括检测所用设备的配置及支撑软件等信息。5.6测量溯源性5.6.2.2检测信息技术产品检测活动是否能追溯到检测人员的操作？检测工具是否能显示其实施的检测和检测结论，是否能追溯到检测标准和方法？实验室是否确保检测结果建立在可信的符合检测标准和检测方法的证据之上？5.8测试和校准物品的处置5.8.1当检测的产品包括软件构件时，如果需要，实验室是否使用适当的配置管理工具以确保在检测过程中软件构件的有效性和完整性。5.8.3在接受检测样品时，是否对样品进行病毒检查并记录。5.8.4实验室是否向客户提供充分的保证，确保检测工具或检测用例集不会将病毒或其他损坏因素引入到属于客户的硬件或软件中。当检测样品包括软件时，如需要，为了防止在检测过程中样品软件被无意篡改，实验室是否具备配置管理机制？5.10结果